Hacker Geek OS ujjlenyomat TTL és TCP ablakméretekkel
Tudta-e, hogy kiderül, hogy melyik operációs rendszert futtatja a hálózati eszköz, csak úgy, hogy megvizsgálja, hogyan kommunikál a hálózaton? Vessünk egy pillantást arra, hogyan fedezhetjük fel, hogy milyen operációs rendszer fut a készülékeinken.
Miért tennéd ezt?
Számos okból hasznos lehet annak meghatározása, hogy melyik operációs rendszert használ a gép vagy eszköz. Először nézzünk meg egy hétköznapi perspektívát, képzeljük el, hogy át akarsz váltani egy új internetszolgáltatóra, aki havonta 50 dollárt kínál korlátlan interneten, így próbálkozhatsz a szolgáltatásukkal. Az OS ujjlenyomatának használatával hamarosan felfedezzük, hogy szemétszállítók vannak és PPPoE szolgáltatást kínálnak egy csomó Windows Server 2003 gépen. Többé nem úgy hangzik, mintha jó lenne?
Ehhez egy másik használat, bár nem annyira etikus, az a tény, hogy a biztonsági lyukak az operációs rendszer specifikusak. Például egy portkeresést végez, és az 53-as portot megnyitja, és a gép egy elavult és sérülékeny Bind verziót futtat, önálló esélye van a biztonsági lyuk kiaknázására, mivel a sikertelen kísérlet összeomlik a démonot.
Hogyan működik az OS ujjlenyomat?
Amikor az aktuális forgalom passzív elemzését végzi, vagy akár a régi csomagokat is megvizsgálja, az egyik legegyszerűbb, leghatékonyabb módja az OS ujjlenyomatának az első IP-fejlécében a TCP ablakméretének és az Élő élettartamának (TTL). csomagot egy TCP-munkamenetben.
Íme a népszerűbb operációs rendszerek értékei:
Operációs rendszer | Itt az ideje élni | TCP ablakméret |
Linux (Kernel 2.4 és 2.6) | 64 | 5840 |
Google Linux | 64 | 5720 |
FreeBSD | 64 | 65535 |
Windows XP | 128 | 65535 |
Windows Vista és 7 (Server 2008) | 128 | 8192 |
iOS 12.4 (Cisco útválasztók) | 255 | 4128 |
Az operációs rendszerek különböző értékeinek fő oka az, hogy a TCP / IP RFC-k nem határozzák meg az alapértelmezett értékeket. További fontos megjegyezni, hogy a TTL érték nem mindig egyezik a táblázatban megadott értékkel, még akkor is, ha a készülék az egyik felsorolt operációs rendszer valamelyikét futtatja, akkor látja, amikor IP-csomagot küld a hálózaton keresztül a küldő eszköz operációs rendszerében beállítja a TTL-t az operációs rendszer alapértelmezett TTL-jére, de mivel a csomag áthalad az útválasztókon, a TTL-t 1-es értékkel csökkenti. Ezért, ha a 117-es TTL-t látja, ez várhatóan egy 128-as TTL-lel küldött csomag. 11 útválasztót vezetett be a felvétel előtt.
A tshark.exe használata a legegyszerűbb módja annak, hogy az értékeket láthassa, így ha már van csomagcsomag, győződjön meg róla, hogy telepítve van a Wireshark, majd navigáljon a következőre:
C: Programfájlok
Most tartsa lenyomva a Shift gombot, és kattintson a jobb gombbal a wireshark mappára, és válassza ki a nyílt parancsablakot a helyi menüből
Most típus:
tshark -r "C: Felhasználók Iaylor Gibb Desktop bla.pcap" "tcp.flags.syn eq 1" -T mezők -e ip.src -e ip.ttl -e tcp.window_size
Győződjön meg róla, hogy a „C: Felhasználók Iaylor Gibb asztali bla- Miután belépett az Enter-be, az összes SYN-csomagot a rögzítésből könnyebben olvasható táblázatformátumban fogjuk megjeleníteni
Most ez egy véletlen csomagrögzítés, amit én készítettem, hogy csatlakozzam a How-To Geek webhelyhez, a többi Windows-beszélgetés között két dolgot tudok biztosan megmondani:
- A helyi hálózatom 192.168.0.0/24
- Windows 7 dobozban vagyok
Ha megnézzük a táblázat első sorát, akkor nem fogok hazudni, az IP-címem 192.168.0.84 az én TTL 128 és a TCP ablakmérete 8192, ami megfelel a Windows 7 értékeinek.
A következő dolog, amit látok, egy 74.125.233.24-es cím, 44-es TTL és 5720 TCP-ablakméret, ha az asztalomra nézek, nincs OS, amelynek TTL-je 44, de azt mondja, hogy a Linux a Google szervereit tartalmazza A futásnak TCP ablakmérete 5720. Az IP-cím gyors internetes keresése után látni fogja, hogy valójában egy Google Server.
Mi mást használ a tshark.exe fájlhoz, mondja el nekünk a megjegyzéseket.